ESET specialister opdaget et nyt værktøj, der skabte kinesiske hackere fra Winnti gruppe, og der var designet til at foretage ændringer i Microsoft SQL Server (MSSQL) databaser med henblik på at skabe en bagdør.
ENs en ekstra fordel, en bagdør skjuler sessioner i databasen forbindelse logger hver gang hackere bruger en ”magiske kodeord”, som hjælper angribere gå ubemærket hen.”Sådan en bagdør kan give en hacker at listende kopiere, ændre eller slette database indhold. Dette kan bruges, For eksempel, at manipulere in-game valuta for økonomisk vinding. In-game valuta database manipulationer ved Winnti operatører allerede er blevet rapporteret”, - skrive ESET specialister.
Værktøjet hedder skip-2,0 og er beregnet til at modificere MSSQL funktioner, der er ansvarlige for autentificeringsbehandling. Angribere implementere en bagdør efter at kompromittere deres mål på andre måder, som kroge installation kræver administratorrettigheder. faktisk, værktøjet bruges til at øge stealth og skabe en bæredygtig tilstedeværelse.
Den grundlæggende idé bag skip-2.0 er at skabe den førnævnte ”magiske kodeord”. Hvis en sådan adgangskode indtastes på nogen autentificering sessionen, brugeren automatisk adgang; mens de sædvanlige skovhugst og revisionsfunktionerne ikke virker, det resulterer i en spøgelsesagtig session, der ikke er noteret nogen steder.
Læs også: Graboid minedrift orm spreder sig via Docker containere
Ifølge eksperter, spring-2,0 fungerer kun med MSSQL servere versioner 12 og 11. Selv MSSQL Server 12 blev udgivet tilbage i 2014, Ifølge Censys, denne version er den mest anvendte.
Under analysen af skip-2,0-kode, eksperter fundet beviser, der forbinder den med andre Winnti værktøjer, især med PortReuse og ShadowPad bagdøre. PortReuse er en bagdør til IIS servere opdaget af ESET i kompromitterede netværk af hardware og software leverandører i Sydasien i begyndelsen af dette år. ShadowPad er en bagdør Trojan til Windows, først set inde applikationer skabt af sydkoreanske software maker NetSarang når Kinesiske hackere brød ind sin infrastruktur i midten af 2017.
Lignende manipulationer med in-game valuta blev allerede rapporteret i begyndelsen af dette år, og FireEye specialister senere forbundet disse angreb med APT41.
Den skip-2,0 bagdør er en interessant tilføjelse til Winnti koncernens arsenal, deling af en stor del af ligheder med koncernens allerede kendt værktøjssæt, og lade angriberen at opnå vedholdenhed på en MSSQL server. I betragtning af, at administrative privilegier er påkrævet til installation krogene, skip-2,0 skal anvendes på allerede kompromitteret MSSQL servere for at opnå vedholdenhed og stealthiness.
